你在這篇技術指南講座中將學到:rootkit很難檢測,並且能夠讓黑客完全控制你的系統。搞清楚這些黑客工具是如何使用的,並且知道如何找出隱藏在你的系統中的rootkit。 假設你是一個黑客。你剛好發現一個系統不是你的“leet skillz”工具軟件的對手,並且獲得了根訪問權限。系統管理員早晚會發現他的系統被別人“擁有”了。在系統使用補丁修復之後,你被踢了出來。這就是你要安裝rootkit的理由。rootkit是黑客安裝在系統中的軟件,以幫助恢復黑客在系統中的權限。大多數rootkit還包含其它的高級工具,如幫助黑客建立後門以便不斷地訪問被攻破的計算機系統。例如,rootkit可以攔截登錄請求並且通過一個特殊用戶ID和口令允許黑客秘密訪問。按鍵記錄器、包嗅探器和其它利用安全漏洞的代碼在rootkit中是很常見的。
隱蔽攻擊 rootkit通過隱藏或者刪除登錄記錄、注冊表記錄和與黑客活動有關的過程的蹤跡來幫助黑客隱藏起來。有些rootkit利用修改過的旨在忽略黑客行動指令來取代系統管理指令中的二進制命令。例如,在Unix或Linux系統中,rootkit用一個不能夠顯示位於某些目錄中的文件列表的指令替代“ls”命令。或者,黑客使用一個忽略黑客活動進程的指令替代“ps”命令。“ps”命令是用來顯示系統中正在運行的進程的。負責記錄活動的程序也將被進行同樣的修改以幫助攻擊者隱藏起來,不受懷疑。因此,當系統管理員查看系統時,一切看起來都很正常,盡管這個系統已經被黑客顛覆了。
rootkit的風格 通過修改二進制命令完成任務的rootkit稱作用戶模式rootkit。通過檢查關鍵系統文件的大小、日期和校驗和的變化就可以查出這些rootkit。 然而,高級的黑客使用內核模式rootkit進行工作就更隱蔽。通過利用Linux在運行過程中可以裝載內核擴展的功能,內核模式rootkit就可以欺騙操作系統的內核。這些rootkit悄悄地隱藏在計算機的心髒並且攔截合法應用程序對操作系統的呼叫,僅返還攻擊者讓你看的日期。由於這種rootkit控制了整個系統環境,查出這種rootkit是很困難的。 雖然rootkit是從Unix/Linux領域產生的,但是,現在有許多現成的用於Windows環境的rootkit,能夠提供與Unix/Linux rootkit相同的功能。 有些Windows rootkit非常高級。要了解更多的有關這些高級的Windows rootkit的信息,請訪問www.rootkit.com網站。如果你負責Windows系統的安全,在這個網站花一些時間將會使你提高警惕。
預防措施 rootkit是第二級的安全威脅。換句話說,你首先必須要犯一些安全錯誤才能讓攻擊者進入你的系統,如配置錯誤、較弱的身份識別或者沒有修復安全漏洞。一旦rootkit進入了你的系統,非常糟糕的事情就會發生了。防御rootkit的最好方法是什麼?首先是通過實施縱深防御戰略阻止rootkit安裝在你的系統中。